Mux-vlan
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Mux-vlan相关的知识,希望对你有一定的参考价值。
Mux-vlan :(相当于思科的私有协议: PVLAN -private vlan,私有VLAN )
#主VLAN Principal VLAN
#从VLAN
隔离VLAN Separate VLAN
互通VLAN Group VLAN
配置命令:
[sw1]vlan batch 10 20 30
【创建lvan10 20 30】
[sw1-vlan10]mux-vlan
【进入VLAN 10 开启mux-vlan】
[sw1-vlan10]subordinate group 20
【在VLAN10 中将VLAN20 设置为互通型VLAN】
[sw1-vlan10]subordinate separate 30
【在VLAN10 中将VLAN30 设置为隔离型VLAN】
[sw1-GigabitEthernet0/0/1]port link-type access
[sw1-GigabitEthernet0/0/1]port default vlan 20
[sw1-GigabitEthernet0/0/1]port mux-vlan enable
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 20
[sw1-GigabitEthernet0/0/2]port mux-vlan enable
【将端口0/1--0/2拉入到VLAN20 ,为互通型】
同样操作将0/3--0/4 端口拉进VLAN30 配置为隔离型
查看命令:
[sw1]display port vlan
【查看端口的PVID 】
[sw1]display vlan
【查看VLAN的类型 】
[sw1]display mux-vlan
【查看VLAN属于什么类型】
# seperate : 同属于该vlan的端口,之间不通
# group : 同属于该vlan的类型,之间通;
注意:
判断两个端口是否属于同一个 mux-vlan 中的小 vlan,
不能通过命令: display vlan 来查看;
应该使用: display mux-vlan
加入到同一个 stub-mux-vlan 的端口,都必须同时启用mux功能
属于 Mux-vlan 中的 小 vlan 的设备发送的数据,如果经过
Trunk链路的话,打的是 小 vlan 的标签,而不是大/主VLAN的;
一个设备在发送数据包之前,应该是先形成包,也就是先进行
数据的封装,在该过程中,尤其注意 2层头部的封装,主要是
目标MAC的获得。
通过 ARP 协议
如果ARP协议工作过程出现问题,则 2层头部封装失败;
那么整个测试数据,是无法形成的,无法发送出去的;
所以最终导致不通;
端口隔离:
在节省 VLAN 资源的前提下,实现同一个 VLAN 中的成员主机的 通信隔离;
#在华为交换机上,配置隔离的时候,可以存在多个隔离组;
#属于相同隔离组的端口互联的主机,才不能通信;
#属于不同隔离组的端口互联的主机,是可以通信的;
#华为交换机上的端口可以同时属于多个 隔离组;
#隔离端口所实现的功能,只能发生在“同一个交换机”上的
多个端口之间
配置命令:
[sw1-GigabitEthernet0/0/2]port-isolate enable
【将这个端口进行隔离】
如果我们不使用 group ,则默认添加到 group 1
[sw1]display port-isolate group all
【查看所有的端口隔离组以及成员】
端口安全:
当我们在一个端口上配置了该功能以后,那么该端口上的入向
流量,就有了所谓的合法与非法之分;主要是通过接收到的 数据的“源MAC”地址进行区分的;
对于启动了端口安全的端口,合法的源MAC可以通过以下两种
方式配置:
1.在该端口手动的静态配置一个合法的MAC地址;
2.在该端口上启用合法MAC的 sticky 特性。
设备将该端口第一次学习到的数据的源MAC作为合法MAC;
该端口对于合法的MAC地址发送的流量,直接转发;
对于非常的MAC地址发送的流量,直接进行相应的惩罚行为:
1.protect - 丢弃非法报文;
2.restrict - 丢弃非法报文,并发送报警信息;
3.shutdown - 直接将该端口 shutdown;
配置命令:
[sw1-GigabitEthernet0/0/1]port-security enable
【开启端口安全】
[sw1-GigabitEthernet0/0/1]port-security mac-address sticky
【将端口和合法的MAC地址绑定】
[sw1-GigabitEthernet0/0/1]port-security max-mac-num
[sw1-GigabitEthernet0/0/1]port-security protect-action shutdown
【设置的惩罚】
[sw1]display mac-address sticky
【查看自动学习到的合法MAC地址】
以上是关于Mux-vlan的主要内容,如果未能解决你的问题,请参考以下文章